-
Junior Member
- Вес репутации
- 60
Попортилась таблица маршрутизации.
Началось с того, что не открывался gmail. tracert google.ru пошел не через шлюз по умолчанию. route print показал 204 постоянных маршрута (если интересно, могу приложить вывод route print). ИЕ падал при попытке открыть http://virusinfo.info/pravila.html.
На всякий случай был проверен файл hosts, в нем обнаружена строка 127.0.0.1 activate.adobe.com. В каталоге %windir%\system32 был обнаружен файл с именем 721f07e0.exe. Строку удалили, файл удалили, таблицу маршрутизации почистили, перезагрузились, таблица маршрутизации опять оказалась поврежденной.
В безопасном режиме проверили CureIt!'ом, он нашел и удалил файл %windir%\system32\pnwtop.exe, после перезагрузки таблица маршрутизации опять оказалась поврежденной.
Согласно Правилам запустили avz (на зеркале устаревшая версия, кстати) - virusinfo_syscure.zip в приложении, virusinfo_cure.zip на диске. После перезагрузки таблица маршрутизации оказалась правильной; virusinfo_syscheck.zip и hijackthis.log - в приложении.
В общем, все в порядке: ИЕ открывает http://virusinfo.info/pravila.html, таблица маршрутизации не портится, вот интересно, все ли излечено?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('c:\windows\system32\721f07e0.exe','');
DeleteFile('c:\windows\system32\721f07e0.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 60
Запрошенный карантин отправил, логи - в приложении
-
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
polword
в логах чисто
Следовательно, все в порядке?
Добавлено через 1 час 33 минуты
upd. Совсем забыл. Этот вирус поудалял точки восстановления. 20 минут назад начал лечить точно такой же вирус в другой сети. Недолго думая, удалил сомнительные файлы из system32 и вызов их в HKLM\Microsoft\WindowsNT\CurrentVersion\Winlogon\U serinit - теперь и не узнать, что за вирус :-(
Последний раз редактировалось smplmnd; 27.07.2010 в 17:02.
Причина: Добавлено
-
Сообщение от
smplmnd
Следовательно, все в порядке?
да
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-